Анализ лога mail.log
Необходимо собрать информацию о том, на какие адреса электронной почты были отправлены письма с конкретного почтового ящика. Это может понадобиться для составления отчёта или в случае взлома почтового ящика, чтобы выяснить, куда именно были направлены письма, поскольку в таких ситуациях они могут не сохраняться в папке “Отправленные”.
Лог о всех полученных и отправленных письма на сервере Zimbra содержится в файле /var/log/mail.log именно с ним и будем работать.
В примере получим информацию о письмах, отправленных с ящика info@winhexs.ru.
Для начала выведем данные об отправленных письмах в отдельный файл:
cat /var/log/mail.log | grep "from=<info@winhexs.ru> to=" > spam.txt
Если необходимо исключить определённый почтовый ящик получателя из выборки, например, если на него была настроена пересылка, выполните следующий запрос:
cat spam.txt | egrep -v "exclude@domain.com" > spam_filtered.txt
mv spam_filtered.txt spam.txt
Следующей командой извлекаем столбец получателя в отдельный файл:
cat spam.txt | awk '{print $18}' > spam_mail.txt
И далее извлекаем домены получателей в зоне .ru:
cat spam_mail.txt | grep ".ru>" > spam_mail_ru.txt
В результате получаем файл, содержащий адреса почтовых ящиков в зоне .ru, на которые были отправлены письма.
Также выше выполненные команды в укороченном виде:
cat spam.txt | grep "from=<info@winhexs.ru> to=" | egrep -v "exclude@domain.com" | awk '{print $18}' | grep ".ru>" > spam_mail_ru.txt
